Documentação do Oracle Cloud Infrastructure

Integração do Azure Key Vault para o Exadata Database Service no Oracle Database@Azure

O Exadata Database Service no Oracle Database@Azure permite que você armazene as chaves de criptografia de dados transparentes (TDE) do seu banco de dados, também conhecidas como chaves de criptografia mestras (MEKs) em uma wallet Oracle baseada em arquivo ou no OCI Vault.

Esse recurso permite que os usuários do Exadata Database Service no Oracle Database@Azure utilizem o HSM Gerenciado do Azure Key Vault (AKV), o AKV Premium e o AKV Standard para gerenciar MEKs de TDE. Essa integração permite que aplicativos, serviços do Azure e bancos de dados usem uma solução centralizada de gerenciamento de chaves para maior segurança e gerenciamento simplificado do ciclo de vida das chaves.

Tópico principal: Guias Práticos

Pré-requisitos

As etapas a seguir devem ser concluídas para que você possa configurar o Azure Key Vault como o gerenciamento de chaves para seus bancos de dados.

As etapas a seguir devem ser concluídas para que você possa configurar o Azure Key Vault como Serviço de Gerenciamento de Chaves no nível do Cluster de VMs do Exadata.

  1. Primeiro, conclua o registro necessário para que as sub-redes delegadas usem recursos avançados de rede mencionados no Planejamento de rede para o Oracle Database@Azure e, em seguida, crie uma Rede Virtual do Azure com pelo menos uma sub-rede delegada nela para ser usada pelo cluster de VMs do Exadata.
  2. Provisione um Cluster de VMs do Exadata pela interface do Azure. Consulte Provisionando um Cluster de VMs do Exadata para o Azure para obter instruções passo a passo.
  3. Revise os requisitos de rede para determinar se o Cluster de VMs se conectará ao Azure KMS por meio de uma rede pública ou por meio de conectividade privada. Para obter mais informações, consulte Requisitos de rede do agente da Máquina Conectada ou Requisitos de Rede para Criar um Conector de Identidade e Recursos KMS para obter etapas específicas a serem seguidas.
  4. Certifique-se de que a política a seguir seja criada antes da criação do banco de dados.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Requisitos de Rede para a Criação de um Conector de Identidade e Recursos KMS

Os recursos do Azure Key Management Service (KMS) suportam conectividade pública e privada. O HSM Gerenciado do Azure Key Vault requer conectividade privada, enquanto as camadas Premium e Padrão do Azure Key Vault suportam opções de conectividade pública e privada.

As seções a seguir descrevem os requisitos de rede para acesso à rede pública.

Configuração Usando Rede Privada

  • Configuração de rede do agente de arco

    Para criar um Conector de Identidade em uma rede privada, um Escopo de Link Privado do Azure Arc e um Ponto Final Privado devem ser configurados por meio do portal do Azure. Consulte a documentação do Azure para obter etapas detalhadas sobre como configurar a conectividade privada para servidores ativados para o Azure Arc.

    Observação

    O Ponto Final Privado deve ser criado em uma sub-rede não delegada dentro da Rede Virtual do Azure (VNet) que hospeda o Cluster de VMs do Oracle Exadata. Os Pontos Finais Privados não são suportados em sub-redes delegadas. Por padrão, os Clusters de VMs do Exadata são provisionados em sub-redes delegadas.

    O HSM gerenciado requer conectividade privada e só é suportado em regiões do Azure que oferecem recursos de Rede Avançada. Para obter uma lista de regiões suportadas, consulte Planejamento de rede para o Oracle Database@Azure.

    Para permitir a comunicação com recursos do agente privado pela rede privada, uma zona DNS privada e os registros A correspondentes devem ser criados na configuração de DNS da VCN na tenancy do OCI (Oracle Cloud Infrastructure).

    A configuração de DNS para o Ponto Final Privado associado ao Escopo do Link Privado deve incluir os endereços de recurso do agente privado necessários. Para obter mais informações, consulte a seção URLs em Requisitos de rede do agente da Máquina Conectada.

    Primeiro, recupere a lista de endereços obrigatórios do portal do Azure. Em seguida, atualize a entrada de zona de DNS no OCI para concluir a configuração.

    Etapas para recuperar a lista de endereços IP obrigatórios:
    1. Acesse o portal do Azure.
    2. Procure por "Escopos de link Privado do Azure Arc".
    3. Escolha qualquer escopo de link privado na lista.
    4. No menu Configurar, clique em Conexões de ponto final Privado.
    5. Clique no link do ponto final Privado.
    6. Em Configurações, selecione a configuração de DNS para exibir os endereços necessários.

    Exemplo: Adicionar um Recurso de Agente Privado (por exemplo, gbl.his.arc.azure.com)

    O endereço IP associado ao gbl.his.arc.azure.com, juntamente com quaisquer outros recursos de agente necessários, deve ser definido na zona DNS privada.

    Etapas:

    1. Criar uma Zona Privada
      Para obter mais informações, consulte Criando uma Zona de DNS Privada.
      • Tipo de zona: Principal
      • Nome da zona: <Nome descritivo>
      • Compartimento: <Nome ou OCID do compartimento>
    2. Adicionar Registros de DNS
      • Navegue até a guia Registros na página de detalhes da zona.
      • Clique em Gerenciar Registros e em Adicionar Registro:
        • Nome: gbl.his.arc.azure.com
        • Tipo: A (endereço IPv4)
        • TTL (segundos): 3600
        • Modo RDATA: Básico
        • Endereço: <Endereço IP Privado>
    3. Publicar a Zona
    4. Certifique-se de que o registro seja exibido na página da zona após a publicação.
    5. Verifique se a conectividade com os serviços do Azure do cluster de VMs é roteada por meio da rede privada.

    Mesmo com a Conectividade Privada, os seguintes pontos finais devem ser roteados por meio do gateway NAT do Azure.

    Recursos do agente:

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Configuração de pontos finais privados do Azure Key Vault

    Para acessar pontos finais do Azure Key Vaults por meio de conectividade privada, crie uma zona de DNS. Além disso, um registro A que mapeia o nome de domínio totalmente qualificado (FQDN) do recurso para o endereço IP do ponto final privado correspondente deve ser adicionado na tenancy do OCI.

    Para acessar o serviço HSM Gerenciado por meio de um Ponto Final Privado na sua rede virtual que hospeda um Cluster de VMs do Exadata, você pode estabelecer uma conexão de link privado com o HSM Gerenciado e associá-lo à sub-rede padrão ou a uma sub-rede não delegada. Siga as etapas descritas na seção "Configuração Usando Rede Privada" do tópico "Requisitos de Rede para Criar um Conector de Identidade e Recursos KMS". Para obter mais informações, consulte Integrar o HSM Gerenciado ao Link Privado do Azure.

Configuração Usando Rede Pública

Crie um gateway NAT no portal do Azure e associe-o à sub-rede delegada do Cluster de VMs do Exadata. Para obter mais informações, consulte Criar um gateway NAT e associá-lo a uma sub-rede existente.

Usando a Console para Gerenciar a Integração do Azure Key Vault para o Exadata Database Service no Oracle Database@Azure

Saiba como gerenciar a integração do Azure Key Vault para o Exadata Database Service no Oracle Database@Azure.

Tópico principal: Integração do Azure Key Vault para o Exadata Database Service no Oracle Database@Azure

A criação de um Conector de Identidade instala o agente do Azure Arc nas VMs do Cluster de VMs do Exadata, registrando-as como máquinas virtuais habilitadas para o Azure Arc.

Isso permite uma comunicação segura com o Azure Key Management Service (KMS) usando a identidade do Azure gerada pelo agente Arc. O agente do Azure Arc pode se comunicar com os serviços do Azure por meio de uma rede pública ou de uma configuração de conectividade privada. Saiba mais sobre o Azure Arc.

Cada cluster de VMs do Exadata deve ter um conector de identidade ativado para acessar os recursos do Azure. O conector de identidade estabelece uma conexão pública ou privada entre o cluster de VMs do Exadata e os recursos do Gerenciamento de Chaves do Azure, dependendo das atribuições designadas.

Para gerar um token de acesso para sua conta atual do Azure, consulte az account get-access-token .

Você pode criar um conector de identidade de duas maneiras: usando a interface Oracle Exadata Database Service on Dedicated Infrastructure ou a interface Database Multicloud Integrations.

Oracle Exadata Database Service on Dedicated Infrastructure

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. No menu esquerdo, clique em Clusters da VM Exadata em Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Na lista de Clusters de VMs do Exadata, selecione o cluster que você está usando.
  4. Selecione Informações do Cluster de VMs e navegue até o Conector de identidades localizado em Informações multicloud. Clique em Criar link.
    Observação

    Se um conector de identidade não tiver sido criado anteriormente, ele será exibido como Nenhum.

  5. Os campos Nome do conector de identidade, Cluster de VMs do Exadata, ID de assinatura do Azure e Nome do grupo de recursos do Azure são somente para leitura e serão preenchidos com valores.
  6. Informe o id do tenant do Azure e o Token de acesso.
  7. Expanda a seção Mostrar opções avançadas.

    As seções Informações de conectividade privada e Tags são preenchidas.

    Para ativar uma conexão de ponto final privado, informe o nome do escopo do link privado do arco do Azure.

  8. Para adicionar tags aos seus recursos, clique em Adicionar tag e informe os valores necessários.
  9. Verifique suas seleções e clique em Criar para criar o conector de identidade.

Integrações de Banco de Dados Multinuvem

  1. Abra o menu de navegação. Clique em Oracle Database e, em seguida, clique em Integrações Multicloud de Banco de Dados.
  2. Selecione Conectores de Identidade no menu de navegação esquerdo.
  3. Na lista drop-down Compartimento, selecione seu compartimento que você está usando.
  4. Depois que você selecionar seu compartimento, o Nome do conector de identidade preencherá automaticamente um nome.

    Por padrão, o tipo de conector de identidade é selecionado como Azure.

  5. Selecione agente ARC como um mecanismo de identidade.
  6. Selecione seu compartimento na lista Escolher um compartimento de cluster de VMs do Exadata e, em seguida, selecione seu Cluster de VMs do Exadata na lista Escolher um cluster de VMs do Exadata.
  7. Informe o id do tenant do Azure. Os campos Id da assinatura do Azure e Nome do grupo de recursos do Azure preenchem valores com base na seleção do Cluster de VMs do Exadata.
  8. Informe um Token de acesso.
  9. Expanda a seção Mostrar opções avançadas. As seções Informações de conectividade privada e Tags são preenchidas. Esses campos são opcionais.
  10. Para adicionar tags aos seus recursos, clique em Adicionar tag e informe os valores necessários.
  11. Revise suas seleções e clique em Criar.

Para exibir os detalhes de um conector de identidade, use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
  3. Clique no nome do cluster de VMs de sua escolha.
  4. Na página Detalhes do Cluster de VMs resultante, na seção Informações Multinuvem, confirme se o campo Conector de identidade exibe o conector de identidade criado anteriormente.
  5. Clique no nome do Conector de Identidade para exibir seus detalhes.

Esta etapa instala a biblioteca necessária no cluster de VMs para suportar a integração do Azure Key Vault. Certifique-se de que um conector de identidade seja criado antes de ativar o Gerenciamento de Chaves do Azure no Cluster de VMs do Exadata.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
  3. Clique no nome do cluster de VMs de sua escolha.
  4. Na página Detalhes do Cluster de VMs resultante, na seção Informações sobre Multinuvem, clique no link Ativar ao lado do armazenamento de chaves do Azure.
  5. Na caixa de diálogo Ativar gerenciamento de chaves do Azure resultante, clique em Ativar para confirmar a operação.

    A confirmação da ação instalará uma biblioteca no Cluster de VMs do Exadata.

    O status do armazenamento de chaves do Azure é alterado de Desativado para Ativado.

  6. Para desativar o armazenamento de chaves do Azure, clique no link Desativar.
  7. Na caixa de diálogo Desativar gerenciamento de chaves do Azure resultante, clique em Desativar para confirmar a operação.

    A desativação do gerenciamento de chaves do Azure remove a biblioteca instalada durante a ativação, o que afetará a disponibilidade dos bancos de dados configurados para usá-la.

Observação

O gerenciamento de chaves do Azure é configurado no nível do cluster de VMs, exigindo que todos os bancos de dados do cluster usem a mesma solução de gerenciamento de chaves. No entanto, os bancos de dados que usam o Oracle Wallet podem coexistir com os que usam o Azure Key Vault no mesmo cluster.

Crie o HSM Gerenciado do Azure Key Vault, o Azure Key Vault Premium ou o Azure Key Vault Standard e, em seguida, designe a permissão.

Para obter mais informações, consulte Criar um vault de chaves usando o portal do Azure.

Observação

Há atribuições específicas que devem ser designadas ao grupo para conceder as permissões necessárias para acessar e gerenciar os recursos HSM Gerenciado do Azure Key Vault, Azure Key Vault Premium e Azure Key Vault Padrão.
  1. Crie um grupo e adicione membros.

    Os grupos do Azure permitem que você gerencie usuários atribuindo a eles o mesmo acesso e permissões aos recursos.

  2. Designe as seguintes atribuições com base no tipo de Key Vault do Azure:
    • Para HSM Gerenciado:
      • IAM: Leitor
      • RBAC local: Oficial de criptografia HSM gerenciado + usuário de criptografia HSM gerenciado
    • Para Key Vault Premium e Standard
      • IAM : Leitor + Oficial de Criptografia do Key Vault

Para obter etapas detalhadas, consulte Designar atribuições do Azure usando o portal do Azure.

Essa é uma maneira alternativa de registrar seus cofres de chaves do Azure na console da OCI. Se você já tiver registrado seu vault durante a criação de um banco de dados no Cluster de VMs do Exadata existente, poderá ignorar esta etapa.

  1. Na console da OCI, navegue até Integrações Multicloud de Banco de Dados e selecione Integração do Microsoft Azure. Na seção Integração do Microsoft Azure, selecione Key Vaults do Azure.
    Observação

    Pelo menos uma chave deve ser criada no vault no portal do Azure para que o registro seja bem-sucedido.
  2. Selecione o botão Registrar cofres de chaves do Azure.
  3. Na lista drop-down, selecione o Compartimento.
  4. Na seção Armazenamentos de chaves do Azure, selecione um conector de identidade na lista Descobrir vaults de chaves do Azure usando conector.
  5. Clique em Descobrir.

    A lista de Nome do vault é exibida.

  6. Marque a caixa de seleção localizada ao lado de Nome do Vault.
  7. Se quiser adicionar tags aos seus recursos, expanda a seção Opções avançadas e clique em Adicionar tag.
  8. Clique em Registrar para registrar os vaults localmente no OCI.
  9. Depois de registrar o vault, você poderá exibir as informações Nome para exibição, Estado, Tipo, Grupo de recursos do Azure e Criado dos vaults na lista.
  10. Selecione o vault que você está usando e clique na guia Associações do conector de identidade, que lista associações do conector de identidade no compartimento atual.
    Observação

    Uma associação padrão é criada automaticamente entre o vault e o Conector de Identidade usado durante o processo de registro do vault. Isso permite que o vault seja usado no cluster de VMs do Exadata associado a esse Conector de Identidade específico.

    Se quiser usar o mesmo vault em outros clusters registrados com diferentes Conectores de Identidade (ou seja, não aquele usado durante a descoberta do vault), você deverá criar explicitamente uma associação entre o vault e esses Conectores de Identidade adicionais.

  11. Clique em Criar associação.
  12. Na lista drop-down, selecione o Compartimento, o nome da associação do vault de chaves do Azure e o Conector de identidade.
  13. Se você expandir a seção Opções avançadas, poderá adicionar Tags para organizar seus recursos.
  14. Analise suas seleções e clique em Criar.

Para criar um banco de dados em um Cluster de VMs existente

Este tópico abrange a criação de seus primeiros bancos de Dados ou subsequentes.

Observação

Se o IORM estiver ativado na instância do Exadata Cloud Infrastructure, a diretiva padrão será aplicada ao novo banco de dados e o desempenho do sistema poderá ser afetado. A Oracle recomenda que você revise as definições do IORM e faça os ajustes aplicáveis à configuração após o provisionamento do novo banco de dados.
Observação

Antes de criar seu primeiro banco de dados e selecionar o Azure Key Vault para gerenciamento de chaves, certifique-se de que os seguintes pré-requisitos sejam atendidos:
  • Todos os pré-requisitos de rede descritos na seção Requisitos de Rede para Criação de um Conector de Identidade e Recursos do KMS foram atendidos
  • O conector de identidade é criado e está disponível para uso
  • O gerenciamento de chaves do Azure está ativado no nível do cluster de VMs
  • O cluster de VMs tem as permissões necessárias para acessar os vaults
  • Os vaults são registrados como recursos do OCI
Observação

  • Restrição de Máquinas Virtuais: O dimensionamento de um cluster de VMs não estende automaticamente os bancos de dados que usam o Azure Key Vault para a máquina virtual recém-adicionada. Para concluir a extensão, atualize o Conector de Identidade existente para o Cluster de VMs do Exadata fornecendo o token de acesso do Azure. Após atualizar o Conector de Identidade, execute o comando dbaascli database addInstance para adicionar a instância do banco de dados à nova VM.
  • Restrições do Data Guard:
    • Ao criar um banco de dados stand-by para um principal que use o Azure Key Vault, certifique-se de que o cluster de VMs de destino tenha um Conector de Identidade ativo, que o gerenciamento de chaves do Azure esteja ativado e que a associação necessária entre o Conector de Identidade e o Key Vault esteja configurada corretamente.
    • As operações de restauração do Data Guard e do banco de dados entre regiões não são suportadas para bancos de dados que usam o Azure Key Vault para gerenciamento de chaves.
  • Restrição de Operações do PDB: Operações remotas do PDB, como clonagem, atualização e realocação, só serão suportadas se os bancos de dados de origem e de destino usarem a mesma chave de TDE (Transparent Data Encryption).
  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure
  2. Escolha o Compartimento.
  3. Navegue até o cluster de VMs na nuvem ou o sistema de banco de dados no qual você deseja criar o banco de dados:

    Clusters da VM na nuvem (O Novo Modelo de Recurso do Exadata Cloud Infrastructure): Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM do Exadata Na lista de clusters de VMs, localize o cluster de VMs que você deseja acessar e clique em seu nome destacado para exibir a página de detalhes do cluster.

    Sistemas de BD: Em Oracle Base Database, clique em Sistemas de BD. Na lista de sistemas de banco de dados, localize o sistema de banco de dados Exadata que você deseja acessar e clique em seu nome para exibir detalhes sobre ele.

  4. Clique em Criar Banco de Dados.
  5. Na caixa de diálogo Criar Banco de Dados, informe o seguinte:
    Observação

    Você não pode modificar o prefixo db_name, db_unique_name e o SID após a criação do banco de dados.
    • Nome do banco de dados: O nome do banco de dados. O nome do banco de dados deve atender aos requisitos:
      • Máximo de 8 caracteres
      • Conter somente caracteres alfanuméricos
      • Começar com um caractere alfabético
      • Não pode ser parte dos 8 primeiros caracteres de uma DB_UNIQUE_NAME no cluster de VMs
      • NÃO use os seguintes nomes reservados: grid, ASM
    • Sufixo do nome exclusivo do banco de dados:

      Opcionalmente, especifique um valor para o parâmetro de banco de dados DB_UNIQUE_NAME. O valor não faz distinção entre maiúsculas e minúsculas.

      O nome exclusivo deve atender aos requisitos:

      • Máximo de 30 caracteres
      • Conter somente caracteres alfanuméricos ou sublinhados (_)
      • Começar com um caractere alfabético
      • Ser exclusivo no cluster de VMs. Recomendamos ser exclusivos na tenancy.
      Se não for especificado, o sistema gerará automaticamente um valor de nome exclusivo, da seguinte forma: 
      <db_name>_<3_chars_unique_string>_<region-name>
    • Versão do banco de dados: a versão do banco de dados. Você pode combinar versões do banco de dados no sistema de banco de dados Exadata.
    • Nome do PDB: (Opcional) No Oracle Database 12c (12.1.0.2) e versões posteriores, você pode especificar o nome do banco de dados plugável. O nome do PDB deve começar com um caractere alfabético e pode conter no máximo oito caracteres alfanuméricos. O único caractere especial permitido é o sublinhado (_).

      Para evitar possíveis conflitos de nome de serviço ao usar o Oracle Net Services para estabelecer conexão com o PDB, certifique-se de que o nome do PDB seja exclusivo em todo o cluster de VMs. Se você não fornecer o nome do primeiro PDB, será usado um nome gerado pelo sistema.

    • Home do Banco de Dados: O Home do Oracle Database para o banco de dados. Escolha a opção aplicável:
      • Selecionar um Home de Banco de Dados existente: O campo do nome para exibição do Home do Banco de Dados permite que você escolha o Home do Banco de Dados entre os homes existentes para a versão especificada do banco de dados. Se não existir um Home de Banco de Dados com essa versão, você deverá criar um novo home.
      • Criar um novo Home do Banco de Dados: Use esta opção para provisionar um novo Home do Banco de Dados para seu banco de dados par do Data Guard.

        Clique em Alterar Imagem do Banco de Dados para usar a imagem publicada pela Oracle desejada ou uma imagem de software de banco de Dados personalizada que você criou com antecedência e selecione um Tipo de imagem:

        • Imagens de Software de Banco de Dados Fornecidas pela Oracle:

          você poderá usar a opção Exibir todas as versões disponíveis para escolher entre todas as PSUs e RUs disponíveis. A release mais recente de cada versão principal é indicada com um label mais recente.

          Observação

          Para as releases principais do Oracle Database disponíveis no Oracle Cloud Infrastructure, as imagens são fornecidas para a versão atual mais as três versões mais recentes (N a N - 3). Por exemplo, se uma instância estiver usando o Oracle Database 19c e a versão mais recente da 19c oferecida for 19.8.0.0.0, as imagens disponíveis para provisionamento serão para as versões 19.8.0.0.0, 19.7.0.0, 19.6.0.0 e 19.5.0.0.
        • Imagens de Software de Banco de Dados Personalizadas: Essas imagens são criadas por sua organização e contêm configurações personalizadas de atualizações e patches de software. Use os seletores de Selecionar um compartimento, Selecionar uma região e Selecionar uma versão do Banco de Dados para limitar a lista de imagens personalizadas de software para um compartimento, uma região ou uma versão principal da release do software Oracle Database específica.

          O filtro de região assume como padrão a região conectada no momento e lista todas as imagens de software criadas nessa região. Quando você escolhe uma região diferente, a lista de imagens de software é atualizada para exibir as imagens de software criadas na região selecionada.

    • Criar credenciais de administrador: (Somente para leitura) Um usuário SYS do administrador de banco de dados será criado com a senha que você fornecer.
      • Nome do usuário: SYS
      • Senha: Forneça a senha para este usuário. A senha deve atender aos seguintes critérios:

        Uma senha forte para SYS, SYSTEM, wallet de TDE e Administrador do PDB. A senha deve ter de 9 a 30 caracteres e conter pelo menos duas letras maiúsculas, duas letras minúsculas, dois números e dois caracteres especiais. Os caracteres especiais devem ser _, # ou -. A senha não deve conter o nome de usuário (SYS, SYSTEM etc.) ou a palavra "oracle" na ordem direta ou reversa e independentemente do tipo de letra.

      • Confirmar senha: Informe novamente a senha SYS especificada.
      • O uso de uma senha da wallet de TDE é opcional. Se você estiver usando chaves de criptografia gerenciadas pelo cliente armazenadas em um vault em sua tenancy, a senha da wallet de TDE não será aplicável ao seu sistema de banco de dados. Use Mostrar Opções Avançados no final da caixa para configurar chaves gerenciadas pelo cliente.Criar Banco de dados

        Se você estiver usando chaves gerenciadas pelo cliente ou se quiser especificar outra senha da wallet de TDE, desmarque a caixa Usar a senha de administrador para a wallet de TDE. Se você estiver usando chaves gerenciadas pelo cliente, deixe os campos de senha de TDE em branco. Para definir a senha da wallet de TDE manualmente, digite uma senha no campo Digite a senha da wallet de TDE e, em seguida, confirme digitando-a no campo Confirmar senha da wallet de TDE.

    • Configurar backups de bancos de dados: Especifique as definições para fazer backup do banco de dados para o Autonomous Recovery Service ou o Object Storage:
      • Ativar backup automático: Marque a caixa para ativar backups incrementais automáticos para este banco de dados. Se você estiver criando um banco de dados em um compartimento de uma zona de segurança, deverá ativar backups automáticos.
      • Destino de Backup: Suas opções são Autonomous Recovery Service ou Object Storage.
      • Programação de Backup:
        • Serviço Object Storage (L0):
          • Dia de programação de backup completo: escolha um dia da semana para os backups L0 iniciais e futuros a serem iniciados.
          • Tempo de programação de backup completo (UTC): Especifique a janela de tempo em que os backups completos começam quando a capacidade de backup automática é selecionada.

          • Fazer o primeiro backup imediatamente: Um backup completo é um backup do sistema operacional de todos os arquivos de dados e do arquivo de controle que constituem um Oracle Database. Um backup completo também deve incluir o(s) arquivo(s) de parâmetro associado(s) ao banco de dados. Você pode fazer um backup completo do banco de Dados quando o banco for submetido a shutdown ou enquanto o banco de Dados estiver aberto. Normalmente, você não deve fazer um backup completo após uma falha na instância ou outras circunstâncias incomuns.

            Caso opte por adiar o primeiro backup completo, talvez seu banco de dados não possa ser recuperado na hipótese de uma falha do banco de dados.

        • Serviço Object Storage (L1):
          • Tempo de programação de backup incremental (UTC): Especifique a janela de tempo em que os backups incrementais começam quando a capacidade de backup automática é selecionada.
        • Serviço de Recuperação Autônoma (L0):
          • Dia programado para o backup inicial: Escolha um dia da semana para o backup inicial.
          • Tempo programado para o backup inicial (UTC): Selecione a janela de tempo para o backup inicial.

          • Fazer o primeiro backup imediatamente: Um backup completo é um backup do sistema operacional de todos os arquivos de dados e do arquivo de controle que constituem um Oracle Database. Um backup completo também deve incluir o(s) arquivo(s) de parâmetro associado(s) ao banco de dados. Você pode fazer um backup completo do banco de Dados quando o banco for submetido a shutdown ou enquanto o banco de Dados estiver aberto. Normalmente, você não deve fazer um backup completo após uma falha na instância ou outras circunstâncias incomuns.

            Caso opte por adiar o primeiro backup completo, talvez seu banco de dados não possa ser recuperado na hipótese de uma falha do banco de dados.

        • Serviço de Recuperação Autônoma (L1):
          • Tempo programado para backup diário (UTC): Especifique o intervalo de tempo em que os backups incrementais começam quando a capacidade de backup automática é selecionada.
      • Opções de exclusão após o encerramento do banco de dados: Opções que você pode usar para manter backups de banco de dados protegidos após o encerramento do banco de dados. Essas opções também podem ajudar a restaurar o banco de dados usando backups em caso de danos acidentais ou mal-intencionados no banco de dados.
        • Manter backups para o período especificado na sua política de proteção ou no período de retenção de backup: Selecione essa opção se quiser reter backups de banco de dados durante todo o período definido no período de retenção de Backup do Object Storage ou na política de proteção do Autonomous Recovery Service após o encerramento do banco de dados.
        • Manter backups por 72 horas e depois excluir: Selecione esta opção para reter backups por um período de 72 horas após encerrar o banco de dados.

      • Política de Período/Proteção de Retenção de Backup: Se você optar por ativar backups automáticos, poderá escolher uma política com um dos seguintes períodos pré-definidos de retenção ou uma política Personalizada.

        Período de retenção do Backup do Serviço Object Storage: 7, 15, 30, 45, 60. Padrão: 30 dias. O sistema exclui automaticamente seus backups incrementais no fim do período de retenção escolhido.

        Política de proteção do Autonomous Recovery Service:

        • Bronze: 14 dias
        • Prata: 35 dias
        • Gold: 65 dias
        • Platinum: 95 dias
        • Personalizado definido por você
        • Padrão: Silver - 35 dias
      • Ativar Proteção de Dados em Tempo Real: A proteção em tempo real é a transferência contínua de alterações de redo de um Banco de Dados Protegido para oAutonomous Recovery Service. Essa opção reduz a perda de dados e fornece um RPO (Recovery Point Objective) próximo a 0. Essa é uma opção de custo extra.

  6. Clique em Mostrar Opções Avançadas para especificar opções avançadas para o banco de dados:

    • Gerenciamento:

      Prefixo do Oracle SID: O número da instância do Oracle Database é adicionado automaticamente ao prefixo do SID para criar o parâmetro de banco de dados INSTANCE_NAME. O parâmetro INSTANCE_NAME também é conhecido como SID. O SID é exclusivo no Cluster de VMs na nuvem. Se não especificado, o prefixo SID assumirá como padrão o padrão db_name.

      Observação

      A entrada de um prefixo SID só está disponível para bancos de dados do Oracle 12.1 e versões posteriores.

      O prefixo SID deve atender aos requisitos:

      • Máximo de 12 caracteres
      • Conter somente caracteres alfanuméricos. No entanto, você pode usar sublinhado (_), que é o único caractere especial que não é restrito por essa convenção de nomenclatura.
      • Começar com um caractere alfabético
      • Exclusivo no cluster de VMs
      • NÃO use os seguintes nomes reservados: grid, ASM
    • Conjunto de Caracteres: O conjunto de caracteres do banco de dados. O padrão é AL32UTF8.
    • Conjunto de caracteres nacional: O conjunto de caracteres nacional do banco de dados. O padrão é AL16UTF16.

    • Criptografia:

      Se você estiver criando um banco de dados em um Cluster de VM do Exadata Cloud Service, poderá optar por usar a criptografia com base em chaves de criptografia que você gerencia. Por padrão, o banco de dados é configurado usando chaves de criptografia gerenciadas pela Oracle.

      • Para configurar o banco de dados com criptografia baseada nas chaves de criptografia que você gerencia:
        Observação

        Se o gerenciamento de chaves do Azure estiver desativado no nível do cluster de VMs, você terá três opções de gerenciamento de chaves: Oracle Wallet, OCI Vault e Oracle Key Vault.
        • Vault do OCI:
          1. Você deve ter uma chave de criptografia válida no serviço Oracle Cloud Infrastructure Vault. Consulte Permitir que os administradores de segurança gerenciem vaults, chaves e segredos.
            Observação

            Use as chaves de criptografia AES-256 para o seu banco de dados.
          2. Escolha um Vault.
          3. Selecione uma Chave de criptografia principal.
          4. Para especificar uma versão de chave distinta da versão mais recente da chave selecionada, marque a caixa de seleção Escolher a versão da chave e digite o OCID da chave que você deseja usar no campo OCID da versão da chave.
            Observação

            A versão da Chave só será designada ao banco de dados contêiner (CDB) e não ao seu banco de dados plugável (PDB). O PDB receberá uma nova versão da chave gerada automaticamente.
        • Oracle Key Vault: Escolha um compartimento e selecione um armazenamento de chaves no compartimento escolhido.
      • Para criar um banco de dados usando o Azure key Vault como solução de gerenciamento de chaves:
        Observação

        Se o gerenciamento de chaves do Azure estiver ativado no nível do cluster de VMs, você terá duas opções de gerenciamento de chaves: Oracle Wallet e Azure Key Vault.
        1. Selecione o tipo do serviço Key Management como Azure Key Vault.
        2. Selecione o Vault disponível no seu compartimento.
          Observação

          A lista de Vaults preenche somente vaults registrados. Clique no link Registrar novos vaults para registrar seu vault. Na página Registrar vaults de chaves do Azure, selecione seu vault e clique em Registrar.
          Observação

          Pelo menos uma chave deve ser registrada em seus vaults.
        3. Selecione a Chave disponível em seu compartimento.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deve aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
  7. Clique em Criar Banco de Dados.
Observação

Você agora pode:
  • Crie ou exclua um CDB enquanto uma configuração do Data Guard estiver em execução em outro banco de dados dentro do mesmo Oracle home e vice-versa.
  • Criar ou excluir um CDB ao executar simultaneamente ações do Data Guard (switchover, failover e reintegração) no mesmo Oracle home e vice-versa.
  • Criar ou excluir um CDB ao criar ou excluir simultaneamente um PDB no mesmo Oracle home e vice-versa.
  • Crie ou exclua um CDB simultaneamente no mesmo Oracle home.
  • Crie ou exclua um CDB ao atualizar simultaneamente tags de Cluster de VMs.

Após a conclusão da criação do banco de dados, o status muda de Provisionando para Disponível e, na página de detalhes do novo banco de dados, a seção Criptografia exibe o nome e o OCID da chave de criptografia.

ADVERTÊNCIA:

Não exclua a chave de criptografia do vault. Isso faz com que qualquer banco dados protegido pela chave fique indisponível.

Aprenda a alterar as chaves de criptografia entre diferentes métodos de criptografia.

  1. Navegue até o Cluster de VMs do Exadata existente na console do OCI. Selecione a guia Bancos de Dados. Em seguida, selecione o recurso de banco de dados que você está usando.
  2. Selecione a guia Informações do banco de dados e role para baixo até a seção Gerenciamento de chaves.
  3. Na seção Criptografia, verifique se o Gerenciamento de chaves está definido como Oracle Wallet e selecione o link Alterar.
  4. Especifique as informações a seguir na página Alterar gerenciamento de chaves.
    1. Selecione seu Gerenciamento de chaves como vault de chaves do Azure na lista drop-down.
    2. Selecione o compartimento do serviço Vault que você está usando e, em seguida, selecione o Vault que está disponível no compartimento.
    3. Selecione o compartimento Chave que você está usando e, em seguida, selecione sua Chave na lista drop-down.
    4. Clique em Salvar alterações.
Observação

A alteração do gerenciamento de chaves do Azure Key Vault para o Oracle Wallet não pode ser executada usando a API ou a Console do OCI. Ela só é suportada por meio do comando dbaascli tde fileToHsm. Além disso, não há suporte para a alternância entre o Azure Key Vault e o OCI Vault ou o Oracle Key Vault (OKV).

Para rotacionar a chave de criptografia do vault de chaves do Azure de um banco de dados contêiner (CDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de Clusters de VMs, clique no nome do cluster que contém o banco de dados que você deseja rotacionar as chaves de criptografia.
  4. Clique em Bancos de Dados.
  5. Clique no nome da base de dados que deseja rotacionar chaves de criptografia.

    A página Detalhes do Banco de Dados exibe informações sobre o banco de dados selecionado.

  6. Na seção Criptografia, verifique se o serviço Key Management está definido como Azure Key Vault e clique no link Girar.
  7. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.
Observação

A rotação de chaves deve ser executada por meio da interface do OCI. A rotação da chave diretamente da interface do Azure não tem efeito no banco de dados.

Para rotacionar a chave de criptografia do cofre de chaves do Azure de um banco de dados plugável (PDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de clusters de VMs, clique no nome do cluster de VMs que contém o PDB que você deseja iniciar e, em seguida, clique no nome dele para exibir a página de detalhes.
  4. Em Bancos de Dados, localize o banco de dados que contém o PDB cujas chaves de criptografia você deseja rotacionar.
  5. Clique no nome do banco de dados para exibir a página Detalhes do Banco de Dados.
  6. Clique na seção Recursos da página Bancos de Dados Plugáveis.

    Uma lista de PDBs existentes nesse banco de dados é exibida.

  7. Clique no nome do PDB que você deseja rotacionar chaves de criptografia.

    A página de detalhes do banco de dados plugável é exibida.

  8. Na seção Criptografia, exibe que o gerenciamento de Chaves é definido como o Azure Key Vault.
  9. Clique no link Girar.
  10. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.

Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.

Use essas operações de API para gerenciar a integração do Azure Key Vault para o Exadata Database Service no Oracle Database@Azure.

Tabela 5-9 Operação de API para gerenciar a integração do Azure Key Vault para o Exadata Database Service no Oracle Database@Azure

API Descrição
createOracleDbAzureConnector Captura detalhes específicos do Azure do cliente e automatiza a instalação do ARC Agent no Cluster de VMs ExaDB-D.
deleteOracleDbAzureConnector Exclui o recurso do Conector do Azure e desinstala o Agente de Arco do Cluster de VMs ExaDB-D.
getOracleDbAzureConnector Extrai os detalhes de um recurso específico do Conector do Azure.
listOracleDbAzureConnectors Lista recursos do Conector do Azure com base nos filtros especificados.
CreateMultiCloudResourceDiscovery Cria um novo recurso de descoberta de recursos de várias nuvens.
GetMultiCloudResourceDiscovery Recupera detalhes de um recurso específico de descoberta de recursos de várias nuvens.
ListMultiCloudResourceDiscoveries Recupera uma lista de todos os recursos de descoberta de recursos de várias nuvens.
CreateOracleDbAzureVaultAssociation Cria uma nova associação entre um Oracle DB e um vault do Azure.
GetOracleDbAzureVaultAssociation Recupera detalhes de uma associação de vault do Oracle DB Azure específica.
ListOracleDbAzureVaultAssociations Recupera uma lista de todas as associações de vault do Oracle DB Azure.
CreateCloudVMCluster Cria um cluster de VMs na nuvem.
GetCloudVmCluster Obtém informações sobre o cluster de VMs na nuvem especificado. Aplica-se apenas a instâncias do Exadata Cloud Service e ao Autonomous Database em infraestrutura dedicada do Exadata.
ListCloudVmClusters Obtém uma lista dos clusters de VMs na nuvem no compartimento especificado. Aplica-se apenas a instâncias do Exadata Cloud Service e ao Autonomous Database em infraestrutura dedicada do Exadata.
DeleteCloudVMCluster Exclui o cluster de VMs na nuvem especificado. Aplica-se apenas a instâncias do Exadata Cloud Service e ao Autonomous Database em infraestrutura dedicada do Exadata.
CreateDatabase Cria um novo banco de dados no Home do Banco de Dados especificado. Se a versão do banco de dados for fornecida, ela deverá corresponder à versão do Home do Banco de Dados. Aplica-se aos sistemas Exadata e Exadata Cloud@Customer.
CreateDatabaseFromBackup

Detalhes para criar um banco de dados restaurando com base em um backup do banco de dados.

Aviso: A Oracle recomenda que você evite usar informações confidenciais ao fornecer valores de string usando a API.

MigrateVaultKey Altera o gerenciamento de chaves de criptografia do gerenciado pelo cliente, usando o serviço Vault, para o gerenciado pela Oracle.
RotateVaultKey Cria uma nova versão de uma chave existente do serviço Vault.
RestoreDatabase Restaura um Banco de Dados com base nos parâmetros de solicitação fornecidos.